Ini ialah perintah cassl yang boleh dijalankan dalam penyedia pengehosan percuma OnWorks menggunakan salah satu daripada berbilang stesen kerja dalam talian percuma kami seperti Ubuntu Online, Fedora Online, emulator dalam talian Windows atau emulator dalam talian MAC OS.
JADUAL:
NAMA
ca - contoh aplikasi CA minimum
SINOPSIS
OpenSSL ca [-berkata-kata] [-config nama fail] [-yam seksyen] [-gencrl] [-membatalkan fail] [-status
siri] [-dikemas kinib] [-crl_reason sebab] [-crl_hold arahan] [-crl_compromise masa]
[-crl_CA_kompromi masa] [-crldadays hari] [-crlhours jam] [-crlexts seksyen] [-tarikh mula
tarikh] [-tarikh tamat tarikh] [-hari berhujah] [-md berhujah] [-dasar berhujah] [-fail kunci berhujah] [-bentuk kunci
PEM|DER] [-kunci berhujah] [-passin berhujah] [-sijil fail] [-tanda diri] [-in fail] [-keluar fail]
[-noteks] [-luar dir] [-infiles] [-spkac fail] [-ss_cert fail] [-preserveDN]
[-noemailDN] [-batch] [-msie_hack] [-sambungan seksyen] [-extfile seksyen] [-enjin id]
[-subj berhujah] [-utf8] [-multivalue-rdn]
DESCRIPTION
. ca arahan ialah aplikasi CA yang minimum. Ia boleh digunakan untuk menandatangani permintaan sijil
pelbagai bentuk dan menjana CRL ia juga mengekalkan pangkalan data teks yang dikeluarkan
sijil dan statusnya.
Penerangan pilihan akan dibahagikan kepada setiap tujuan.
CA PILIHAN
-config nama fail
menentukan fail konfigurasi untuk digunakan.
-yam seksyen
menentukan bahagian fail konfigurasi untuk digunakan (overrides default_ca dalam ca
bahagian).
-in nama fail
nama fail input yang mengandungi satu permintaan sijil untuk ditandatangani oleh CA.
-ss_cert nama fail
sijil yang ditandatangani sendiri untuk ditandatangani oleh CA.
-spkac nama fail
fail yang mengandungi satu kunci awam yang ditandatangani Netscape dan cabaran dan tambahan
nilai medan yang akan ditandatangani oleh CA. Lihat SPKAC FORMAT bahagian untuk maklumat tentang
format input dan output yang diperlukan.
-infiles
jika ada, ini sepatutnya menjadi pilihan terakhir, semua hujah berikutnya dianggap sebagai
nama fail yang mengandungi permintaan sijil.
-keluar nama fail
fail output ke sijil output ke. Lalai ialah output standard. The
butiran sijil juga akan dicetak ke fail ini dalam format PEM (kecuali itu
-spkac mengeluarkan format DER).
-luar direktori
direktori untuk mengeluarkan sijil kepada. Sijil akan ditulis pada nama fail
yang terdiri daripada nombor siri dalam hex dengan ".pem" dilampirkan.
-sijil
fail sijil CA.
-fail kunci nama fail
kunci peribadi untuk menandatangani permintaan dengan.
-bentuk kunci PEM|DER
format data dalam fail kunci peribadi. Lalai ialah PEM.
-kunci kata laluan
kata laluan yang digunakan untuk menyulitkan kunci peribadi. Oleh kerana pada beberapa sistem baris arahan
hujah boleh dilihat (cth. Unix dengan utiliti 'ps') pilihan ini harus digunakan
dengan berhati-hati.
-tanda diri
menunjukkan sijil yang dikeluarkan akan ditandatangani dengan kunci sijil
permintaan telah ditandatangani dengan (diberikan dengan -fail kunci). Permintaan sijil ditandatangani dengan a
kunci yang berbeza diabaikan. Jika -spkac, -ss_cert or -gencrl diberikan, -tanda diri is
diabaikan.
Akibat menggunakan -tanda diri ialah sijil yang ditandatangani sendiri muncul di kalangan
entri dalam pangkalan data sijil (lihat pilihan konfigurasi pangkalan data), dan kegunaan
kaunter nombor siri yang sama seperti semua sijil lain yang ditandatangani dengan yang ditandatangani sendiri
perakuan.
-passin berhujah
sumber kata laluan utama. Untuk maklumat lanjut tentang format berhujah melihat PAS
PHRASE HUJAH bahagian dalam OpenSSL(1).
-berkata-kata
ini mencetak butiran tambahan tentang operasi yang dijalankan.
-noteks
jangan keluarkan bentuk teks sijil kepada fail output.
-tarikh mula tarikh
ini membolehkan tarikh mula ditetapkan secara eksplisit. Format tarikh ialah
YYMMDDHHMMSSZ (sama seperti struktur ASN1 UTCTime).
-tarikh tamat tarikh
ini membolehkan tarikh luput ditetapkan dengan jelas. Format tarikh ialah
YYMMDDHHMMSSZ (sama seperti struktur ASN1 UTCTime).
-hari berhujah
bilangan hari untuk memperakui sijil untuk.
-md alga
ringkasan mesej untuk digunakan. Nilai yang mungkin termasuk md5, sha1 dan mdc2. Pilihan ini
juga terpakai kepada CRL.
-dasar berhujah
pilihan ini mentakrifkan "dasar" CA untuk digunakan. Ini adalah bahagian dalam konfigurasi
fail yang menentukan medan yang harus diwajibkan atau sepadan dengan sijil CA. Semak
keluar DASAR FORMAT seksyen untuk maklumat lanjut.
-msie_hack
ini adalah pilihan warisan untuk dibuat ca bekerja dengan versi lama sijil IE
kawalan pendaftaran "certenr3". Ia menggunakan UniversalStrings untuk hampir semua perkara. Sejak
kawalan lama mempunyai pelbagai pepijat keselamatan penggunaannya amat tidak digalakkan. Yang lebih baru
kawalan "Xenroll" tidak memerlukan pilihan ini.
-preserveDN
Biasanya susunan DN sijil adalah sama dengan susunan medan dalam
bahagian dasar yang berkaitan. Apabila pilihan ini ditetapkan, pesanan adalah sama dengan permintaan.
Ini sebahagian besarnya untuk keserasian dengan kawalan pendaftaran IE yang lebih lama
hanya menerima sijil jika DN mereka sepadan dengan susunan permintaan. Ini bukan
diperlukan untuk Xenroll.
-noemailDN
DN sijil boleh mengandungi medan EMAIL jika terdapat dalam permintaan DN,
walau bagaimanapun adalah dasar yang baik hanya dengan menetapkan e-mel ke dalam sambungan altName bagi
sijil. Apabila pilihan ini ditetapkan medan EMAIL dialih keluar daripada sijil'
subjek dan ditetapkan hanya dalam sambungan, akhirnya hadir. The email_in_dn kata kunci
boleh digunakan dalam fail konfigurasi untuk membolehkan kelakuan ini.
-batch
ini menetapkan mod kelompok. Dalam mod ini tiada soalan akan ditanya dan semua sijil
akan diperakui secara automatik.
-sambungan seksyen
bahagian fail konfigurasi yang mengandungi sambungan sijil yang akan ditambah
apabila sijil dikeluarkan (lalai kepada x509_extensions melainkan -extfile pilihan
digunakan). Jika tiada bahagian sambungan hadir maka, sijil V1 dicipta. Sekiranya
bahagian sambungan hadir (walaupun ia kosong), maka sijil V3 dibuat.
Lihat: w x509v3_config(5) halaman manual untuk butiran format bahagian sambungan.
-extfile fail
fail konfigurasi tambahan untuk membaca sambungan sijil daripada (menggunakan fail
bahagian lalai melainkan jika -sambungan pilihan juga digunakan).
-enjin id
menentukan enjin (dengan uniknya id rentetan) akan menyebabkan ca untuk cuba mendapatkan a
rujukan berfungsi kepada enjin yang ditentukan, dengan itu memulakannya jika perlu. The
enjin kemudiannya akan ditetapkan sebagai lalai untuk semua algoritma yang tersedia.
-subj berhujah
menggantikan nama subjek yang diberikan dalam permintaan. Arg mesti diformatkan sebagai
/type0=value0/type1=value1/type2=..., aksara boleh diloloskan dengan \ (slash belakang), no
ruang dilangkau.
-utf8
pilihan ini menyebabkan nilai medan ditafsirkan sebagai rentetan UTF8, secara lalai ia adalah
ditafsirkan sebagai ASCII. Ini bermakna bahawa nilai medan, sama ada digesa daripada a
terminal atau diperoleh daripada fail konfigurasi, mestilah rentetan UTF8 yang sah.
-multivalue-rdn
pilihan ini menyebabkan hujah -subj ditafsirkan dengan sokongan penuh untuk
RDN berbilang nilai. Contoh:
/DC=org/DC=OpenSSL/DC=pengguna/UID=123456+CN=John Doe
Jika -multi-rdn tidak digunakan maka nilai UID ialah 123456+CN=John Doe.
C.R.L. PILIHAN
-gencrl
pilihan ini menjana CRL berdasarkan maklumat dalam fail indeks.
-crldadays num
bilangan hari sebelum CRL seterusnya perlu dibayar. Itulah hari dari sekarang untuk ditempatkan
medan CRL nextUpdate.
-crlhours num
bilangan jam sebelum CRL seterusnya perlu dibayar.
-membatalkan nama fail
nama fail yang mengandungi sijil untuk dibatalkan.
-status siri
memaparkan status pembatalan sijil dengan nombor siri yang ditentukan dan
jalan keluar.
-dikemas kinib
Mengemas kini indeks pangkalan data untuk membersihkan sijil yang telah tamat tempoh.
-crl_reason sebab
sebab pembatalan, di mana sebab adalah salah satu daripada: tidak ditentukan, kunciKompromi, CACompromise,
gabunganBerubah, digantikan, cessationOfOperation, sijilPegang or
removeFromCRL. Padanan daripada sebab tidak peka huruf besar-besaran. Menetapkan sebarang pembatalan
sebab akan menjadikan CRL v2.
Secara praktikal removeFromCRL tidak begitu berguna kerana ia hanya digunakan dalam delta
CRL yang tidak dilaksanakan pada masa ini.
-crl_hold arahan
Ini menetapkan kod sebab pembatalan CRL kepada sijilPegang dan arahan tahan
kepada arahan yang mesti OID. Walaupun mana-mana OID boleh digunakan sahaja
tahanArahanTiada (penggunaannya tidak digalakkan oleh RFC2459)
holdInstructionCallIssuer or tahanArahanTolak biasanya akan digunakan.
-crl_compromise masa
Ini menetapkan alasan pembatalan kepada kunciKompromi dan masa kompromi untuk masa. masa
hendaklah dalam format GeneralizedTime iaitu YYYYMMDDHHMMSSZ.
-crl_CA_kompromi masa
Ini sama seperti crl_compromise kecuali sebab pembatalan ditetapkan kepada
CACompromise.
-crlexts seksyen
bahagian fail konfigurasi yang mengandungi sambungan CRL untuk disertakan. Jika tiada CRL
bahagian sambungan hadir maka CRL V1 dibuat, jika bahagian sambungan CRL adalah
hadir (walaupun kosong) maka V2 CRL dicipta. Sambungan CRL yang ditentukan
ialah sambungan CRL dan tidak Sambungan masukan CRL. Perlu diingatkan bahawa beberapa
perisian (contohnya Netscape) tidak boleh mengendalikan V2 CRL. Lihat x509v3_config(5) halaman manual
untuk butiran format bahagian sambungan.
CONFIGURATION FAIL PILIHAN
Bahagian fail konfigurasi yang mengandungi pilihan untuk ca didapati seperti berikut: Jika
yang -yam pilihan baris arahan digunakan, kemudian ia menamakan bahagian yang akan digunakan. Jika tidak
bahagian yang hendak digunakan mesti dinamakan dalam default_ca pilihan untuk ca seksyen
fail konfigurasi (atau dalam bahagian lalai fail konfigurasi). Selain itu
default_ca, pilihan berikut dibaca terus daripada ca seksyen:
RANDFILE simpan
msie_hack Dengan pengecualian FAIL RANDFILE, ini mungkin pepijat dan mungkin berubah pada masa hadapan
siaran.
Banyak pilihan fail konfigurasi adalah sama dengan pilihan baris arahan. Dimanakah
pilihan terdapat dalam fail konfigurasi dan baris arahan nilai baris arahan adalah
digunakan. Di mana pilihan diterangkan sebagai wajib maka ia mesti ada dalam
fail konfigurasi atau baris arahan yang setara (jika ada) digunakan.
oid_file
Ini menentukan fail yang mengandungi tambahan OBJEK PENGENALAN. Setiap baris fail
hendaklah terdiri daripada bentuk berangka pengecam objek diikuti dengan ruang putih
kemudian nama pendek diikuti dengan ruang putih dan akhirnya nama panjang.
bahagian_oid
Ini menentukan bahagian dalam fail konfigurasi yang mengandungi objek tambahan
pengecam. Setiap baris hendaklah mengandungi nama pendek pengecam objek
diikuti oleh = dan bentuk berangka. Nama pendek dan panjang adalah sama apabila ini
pilihan digunakan.
new_certs_dir
sama dengan -luar pilihan baris arahan. Ia menentukan direktori di mana baru
sijil akan diletakkan. Wajib.
sijil
yang sama seperti -sijil. Ia memberikan fail yang mengandungi sijil CA. Wajib.
kunci_pribadi
sama dengan -fail kunci pilihan. Fail yang mengandungi kunci peribadi CA. Wajib.
FAIL RANDFILE
fail yang digunakan untuk membaca dan menulis maklumat benih nombor rawak, atau soket EGD (lihat
RAND_egd(3)).
default_days
sama dengan -hari pilihan. Bilangan hari untuk memperakui sijil untuk.
default_startdate
sama dengan -tarikh mula pilihan. Tarikh mula untuk memperakui sijil untuk. Jika tidak
tetapkan masa semasa digunakan.
default_enddate
sama dengan -tarikh tamat pilihan. Sama ada pilihan ini atau default_days (atau perintah
baris setara) mesti ada.
default_crl_hours default_crl_days
sama dengan -crlhours dan juga -crldadays pilihan. Ini hanya akan digunakan jika tidak
pilihan baris arahan ada. Sekurang-kurangnya satu daripada ini mesti ada untuk menjana a
CRL.
default_md
sama dengan -md pilihan. Ringkasan mesej untuk digunakan. Wajib.
pangkalan data
fail pangkalan data teks untuk digunakan. Wajib. Fail ini mesti ada walaupun pada mulanya
ia akan kosong.
unik_subjek
jika nilai yes diberikan, entri sijil yang sah dalam pangkalan data mesti ada
mata pelajaran yang unik. jika nilai tidak diberikan, beberapa penyertaan sijil yang sah mungkin ada
subjek yang sama. Nilai lalai ialah yes, agar serasi dengan yang lebih tua (pra
0.9.8) versi OpenSSL. Walau bagaimanapun, untuk memudahkan pemutaran sijil CA, ini
disyorkan untuk menggunakan nilai tidak, terutamanya jika digabungkan dengan -tanda diri arahan
pilihan baris.
siri
fail teks yang mengandungi nombor siri seterusnya untuk digunakan dalam hex. Wajib. Fail ini
mesti ada dan mengandungi nombor siri yang sah.
nombor crl
fail teks yang mengandungi nombor CRL seterusnya untuk digunakan dalam hex. Nombor crl ialah
dimasukkan dalam CRL hanya jika fail ini wujud. Jika fail ini ada, ia mesti
mengandungi nombor CRL yang sah.
x509_extensions
yang sama seperti -sambungan.
crl_extensions
yang sama seperti -crlexts.
memelihara
yang sama seperti -preserveDN
email_in_dn
yang sama seperti -noemailDN. Jika anda mahu medan EMAIL dialih keluar daripada DN
sijil hanya tetapkan ini kepada 'tidak'. Jika tidak hadir, lalai adalah untuk membenarkan
EMAIL difailkan dalam DN sijil.
msie_hack
yang sama seperti -msie_hack
dasar
yang sama seperti -dasar. Wajib. Lihat DASAR FORMAT seksyen untuk maklumat lanjut.
name_opt, cert_opt
pilihan ini membenarkan format yang digunakan untuk memaparkan butiran sijil apabila bertanya kepada
pengguna untuk mengesahkan tandatangan. Semua pilihan yang disokong oleh x509 utiliti -nameopt and
-certopt suis boleh digunakan di sini, kecuali no_signname and no_sigdump adalah
ditetapkan secara kekal dan tidak boleh dilumpuhkan (ini kerana tandatangan sijil
tidak boleh dipaparkan kerana sijil belum ditandatangani pada ketika ini).
Untuk kemudahan nilai ca_default diterima oleh kedua-duanya untuk menghasilkan yang munasabah
output.
Jika tiada pilihan hadir, format yang digunakan dalam versi OpenSSL yang lebih awal digunakan.
Penggunaan format lama ialah kuat tidak digalakkan kerana ia hanya memaparkan medan
disebut dalam dasar bahagian, salah mengendalikan jenis rentetan berbilang aksara dan tidak
sambungan paparan.
salin_sambungan
menentukan cara sambungan dalam permintaan sijil harus dikendalikan. Jika ditetapkan kepada tiada
atau pilihan ini tidak ada maka sambungan diabaikan dan tidak disalin ke
sijil. Jika ditetapkan kepada salinan maka sebarang sambungan yang terdapat dalam permintaan yang tidak
sudah hadir disalin ke sijil. Jika ditetapkan kepada copyall kemudian semua sambungan
dalam permintaan disalin ke sijil: jika sambungan sudah ada dalam
sijil itu dipadamkan dahulu. Lihat AMARAN bahagian sebelum menggunakan ini
pilihan.
Penggunaan utama pilihan ini adalah untuk membenarkan permintaan sijil untuk membekalkan nilai untuk
sambungan tertentu seperti subjectAltName.
DASAR FORMAT
Bahagian dasar terdiri daripada satu set pembolehubah yang sepadan dengan medan DN sijil.
Jika nilai adalah "padanan" maka nilai medan mesti sepadan dengan medan yang sama dalam CA
sijil. Jika nilai "dibekalkan" maka ia mesti ada. Jika nilainya ialah
"pilihan" maka ia mungkin ada. Mana-mana medan yang tidak dinyatakan dalam bahagian dasar adalah
dipadamkan secara senyap, melainkan jika -preserveDN pilihan ditetapkan tetapi ini boleh dianggap lebih daripada a
tingkah laku aneh daripada yang dimaksudkan.
SPKAC FORMAT
Input kepada -spkac pilihan baris arahan ialah kunci awam dan cabaran yang ditandatangani Netscape.
Ini biasanya akan datang dari KEYGEN teg dalam bentuk HTML untuk mencipta kunci peribadi baharu.
Walau bagaimanapun adalah mungkin untuk mencipta SPKAC menggunakan spkac utiliti.
Fail hendaklah mengandungi pembolehubah SPKAC yang ditetapkan kepada nilai SPKAC dan juga
komponen DN yang diperlukan sebagai pasangan nilai nama. Jika anda perlu memasukkan komponen yang sama
dua kali maka ia boleh didahului dengan nombor dan '.'.
Apabila memproses format SPKAC, output adalah DER jika -keluar bendera digunakan, tetapi format PEM
jika menghantar ke stdout atau -luar bendera digunakan.
CONTOH
Nota: contoh-contoh ini menganggap bahawa ca struktur direktori sudah disediakan dan
fail yang berkaitan sudah wujud. Ini biasanya melibatkan pembuatan sijil CA dan peribadi
kunci dengan req, fail nombor siri dan fail indeks kosong dan meletakkannya dalam
direktori yang berkaitan.
Untuk menggunakan contoh fail konfigurasi di bawah direktori demoCA, demoCA/private dan
demoCA/newcerts akan dibuat. Sijil CA akan disalin ke demoCA/cacert.pem
dan kunci peribadinya untuk demoCA/private/cakey.pem. DemoCA/siri fail akan dibuat
mengandungi contohnya "01" dan fail indeks kosong demoCA/index.txt.
Tandatangani permintaan sijil:
openssl ca -in req.pem -out newcert.pem
Tandatangani permintaan sijil, menggunakan sambungan CA:
openssl ca -in req.pem -extensions v3_ca -out newcert.pem
Hasilkan CRL
openssl ca -gencrl -out crl.pem
Tandatangani beberapa permintaan:
openssl ca -infiles req1.pem req2.pem req3.pem
Sahkan SPKAC Netscape:
openssl ca -spkac spkac.txt
Contoh fail SPKAC (garisan SPKAC telah dipotong untuk kejelasan):
SPKAC=MIG0MGAwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAn7PDhCeV/xIxUg8V70YRxK2A5
CN=Steve Test
emailAddress=[e-mel dilindungi]
0.OU=OpenSSL Group
1.OU=Kumpulan Lain
Contoh fail konfigurasi dengan bahagian yang berkaitan untuk ca:
[ ca ]
default_ca = CA_default # Bahagian ca lalai
[ CA_default ]
dir = ./demoCA # dir atas
pangkalan data = $dir/index.txt # fail indeks.
new_certs_dir = $dir/newcerts # new certs dir
sijil = $dir/cacert.pem # Sijil CA
bersiri = $dir/siri # bersiri tiada fail
private_key = $dir/private/cakey.pem# CA private key
RANDFILE = $dir/private/.rand # fail nombor rawak
default_days = 365 # berapa lama untuk diperakui
default_crl_days= 30 # berapa lama sebelum CRL seterusnya
default_md = md5 # md untuk digunakan
polisi = polisi_sebarang # dasar lalai
email_in_dn = tidak # Jangan tambahkan e-mel ke dalam DN sijil
name_opt = ca_default # Pilihan paparan nama subjek
cert_opt = ca_default # Pilihan paparan sijil
copy_extensions = tiada # Jangan salin sambungan daripada permintaan
[ policy_any ]
countryName = dibekalkan
stateOrProvinceName = pilihan
Nama organisasi = pilihan
organizationalUnitName = pilihan
commonName = dibekalkan
emailAddress = pilihan
Gunakan cassl dalam talian menggunakan perkhidmatan onworks.net
